Telias Utfärdardeklaration, CPS,

Page E-LEGITIMATION Public 1 (28) Telias Utfärdardeklaration, CPS, för hårdvarubaserad Telia e-legitimation

Page E-LEGITIMATION Public 2 (28) 1 Inledning 4 1.1 Allmänt 4 1.2 Identifiering 5 1.3 Målgrupp och tillämplighet 5 1.3.1 Utfärdare av e-legitimation, Certification Authority (CA) 5 1.3.2 Registration Authorities (RA) 5 1.3.4 Kunder 5 1.3.5 Tillämplighet 6 1.4 Kontaktuppgifter 6 2 Allmänna bestämmelser 7 2.1 Åtaganden 7 2.1.1 Kundens åtaganden 7 2.1.2 Förlitande parts åtaganden 7 2.2 Ansvar 7 2.3 Ekonomiskt ansvar 7 2.4 Tillämplig lag och tvistlösning 8 2.5 Publicering och åtkomst av information 8 2.6 Revision 8 2.7 Sekretess 8 2.8 Immateriella rättigheter 9 3 Identifiering och verifiering 10 3.1 Initial registrering 3.1.2 Verifiering av personuppgifter 10 10 3.2 Verifiering vid förnyelse av certifikat 10 3.3 Begäran om spärr 10 4 Operationella krav 11 4.1 Ansökan om e-legitimation 11 4.2 Utfärdande av e-legitimation 11 4.3 Acceptans av certifikat 12 4.4 Spärrning av certifikat 12 4.4.1 Anledning till spärr 12 4.4.2 Rutin för begäran om spärr 12 4.4.3 Krav på kontroll av spärrinformation 12 4.5 Loggning 4.5.1 Händelser som loggas 13 13 4.6 Arkivering 13 4.7 Byte av nycklar 14 4.8 Katastrofplan 14 4.9 Upphörande av CA:ns verksamhet 15 5 Säkerhet 16 5.1 Fysisk säkerhet 5.1.1 Anläggningens lokalisering och konstruktion 16 16 5.2 Säkerhetsorganisation (Procedurorienterad säkerhet) 17 5.2.1 Betrodda roller 17 5.2.2 Krav på antal personer per uppgift 17 5.2.3 Identifiering och verifiering av personer i betrodda roller 17

Page E-LEGITIMATION Public 3 (28) 5.3 Personorienterad säkerhet 18 6 Teknisk säkerhet 19 6.1 Generering och installation av nyckelpar 19 6.1.1 Generering av nycklar 19 6.1.2 Leverans av privat nyckel till användare 19 6.1.3 Leverans av publika nycklar till CA 20 6.1.4 Leverans av CA:ns publika nyckel till användare och förlitandeparter 20 6.1.5 Storlek på kryptografiska nycklar 21 6.1.6 Algoritmer och nyckelparametrar 21 6.1.7 Generering av nycklar i hård- eller mjukvara 21 6.1.8 Användningsområde för nycklar 21 6.2 Skydd av privat nyckel 21 6.2.1 Standard för kryptografisk modul 22 6.2.2 Flerpersonskontroll av privata nycklar 22 6.2.3 Deponering av privata nycklar 22 6.2.4 Säkerhetskopiering av privata nycklar 22 6.2.5 Aktivering av privata nycklar 22 6.2.6 Förstörelse av privata nycklar 23 6.3 Andra aspekter på nyckelhantering 23 6.3.1 Privata nycklars användningsperiod 23 6.3.2 Ansvar för koder 23 6.3.3 Arkivering av publika nycklar 24 6.4 Aktiveringsdata 24 6.5 Säkerhet i datorsystem 24 6.6 Säkerhet under systemets livscykel 24 6.6.1 Kontroll av systemutveckling 24 6.6.2 Kontroll av säkerhetsadministration 24 6.7 Nätverkssäkerhet 24 7 Certifikatprofiler 25 7.1 Certifikatprofil 25 7.1.1 Version numbers 25 7.1.2 Certifikatextensioner 25 7.1.3 Objektidentifierare för signeringsalgoritm 25 7.1.4 Användning av namnfält 25 7.1.5 Objektidentifierare för certifikatpolicy 26 8 Förvaltning och revisionshantering av detta dokument 27 8.1 Regler för revidering av detta dokument 27 8.1.1 Förändringar som kan ske utan underrättelse 27 8.1.2 Förändringar som ska ske med underrättelse 27 8.1.3 Övriga förändringar 27 Appendix A: Förkortningar 28

Page E-LEGITIMATION Public 4 (28) 1 Inledning 1.1 Allmänt Detta dokument, Telias Utfärdardeklaration, CPS, för hårdvarubaserad Telia e- legitimation, beskriver de rutiner och processer som används vid utfärdande av hårdvarubaserad Telia e-legitimation. Denna CPS innehåller också Telias åtaganden och garantier vid utfärdandet samt förpliktelser för kunder och förlitande parter. Telia är ansvarig för denna utfärdardeklaration, CPS, och alla processer och åtaganden som finns angivna i detta dokument. Vissa delar av utfärdandestjänsten kan komma att utföras av underleverantörer eller annan part, men om så är fallet är det Telia som har det övergripande ansvaret i enlighet med denna CPS. Hårdvarubaserad Telia e-legitimation utfärdas till personer över 18 år med ett svenskt personnummer och är avsedda att användas vid kontakt med olika myndigheter eller andra offentliga förvaltningar samt privata tjänsteleverantörer. Hårdvarubaserad Telia e-legitimation ges ut under de förutsättningar som anges i ETSI: s dokument Policy requirements for certification authorities issuing qualified certificates, TS 101 456. Telia har inte gett ut någon egen certifikatpolicy utan anser att de krav som ställs på en sådan i ovannämnda ETSI:s dokument är tillräckligt tydliga och ska betraktas som CA-policy gällande CA för hårdvarubaserad Telia e-legitimation (framgent refererad till som CA). Utfärdardeklarationen för hårdvarubaserad Telia e-legitimation uppfyller tillämpliga krav som ställs i ETSI:s dokument. Denna Utfärdardeklaration, CPS, följer också RFC2527, PKIX, Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework till struktur och innehåll. Telia Utfärdardeklaration, CPS, för hårdvarubaserad e-legitimation är beslutad och godkänd av Telia (CPSMT). CPSMT ansvarar för att denna CPS uppfyller alla de krav som ställs i Certifikatpolicyn. CPSMT ansvarar också för att löpande kontrollera att utfärdandet av hårdvarubaserad Telia e- legitimation sker i enlighet med denna CPS. I de fall denna CPS behöver uppdateras initieras detta arbete av CPSMT och innan uppdateringen träder i kraft tas ett beslut av CPSMT. Se även kapitel 8. Denna Utfärdardeklaration, CPS, finns publicerad på https://www.trust.telia.com/e-leghw. Telia har godkänt denna CPS den 2006-01-10

Page E-LEGITIMATION Public 5 (28) 1.2 Identifiering Objektidentifierare (OID) för denna CPS är: ISO (1) ISO member body (2) SE (752) TeliaSonera Sverige AB (35) Telia e-legitimation (1) Telia e-legitimation HW CPS(2) 1.3 Målgrupp och tillämplighet 1.3.1 Utfärdare av e-legitimation, Certification Authority (CA) Telia utfärdar under denna CPS enbart certifikat till personer med svenskt personnummer. CA:n som lyder under denna CPS kommer inte att ha några underliggande CA:n som i sin tur ger ut certifikat. Hårdvarubaserad Telia e-legitimation kan knytas till tre produkttyper av smarta kort, Telia e-legitimation standardkort, Telia e-legitimation Företagskort och Telia e- legitimation SIS-godkänt anställningskort. Skillnaden mellan de tre typerna av kort är informationen som trycks på kortets yta. Telia e-legitimation SIS-godkänt anställningskort är ett giltigt identietskort och följer kraven i den svenska standarden SS 614314:2004/T1:2005 and SBC 151. Telia e- legitimation SIS-godkänt anställningskort utfärdas endast till anställda i företag som har tillstånd att ge ut identitetskort. 1.3.2 Registration Authorities (RA) Telia ansvarar för RA-funktionen för hårdvarubaserad Telia e-legitimation. RAfunktionen tar emot ansökningar om e-legitimation och genomför nödvändiga kontroller av varje ansökan innan en e-legitimation utfärdas. De administratörer som agerar inom ramen för RA-funktionen har genomgått utbildning för att få nödvändiga kunskaper för att kunna verifiera och godkänna certifikatansökningarna. RA-funktionen är geografiskt separerad från själva utfärdandesystemet. 1.3.4 Kunder Hårdvarubaserad Telia e-legitimation utfärdas enbart till fysiska personer över 18 år, som innehar ett giltigt svenskt personnummer. Sökande för Telia e-legitimation SIS-godkänt anställningskort kan bara vara anställda inom ett företag med en giltig licens att utfärda identitetskort. Kunden ansvarar för att lämna korrekta uppgifter vid ansökan och att skydda sin privata nyckel på ett godtagbart sätt. Varje ansökan om e-legitimation leder till att den sökande får två certifikat, ett som ska användas vid legitimering/autentisering och/eller kryptering och ett som ska användas för underskrift/signering.

Page E-LEGITIMATION Public 6 (28) 1.3.5 Tillämplighet Telias e-legitimationer är utfärdade till fysiska personer för att kunna användas mot bl a statliga myndigheter, affärsverk eller andra organisationer inom offentlig förvaltning samt privata tjänsteleverantörer. Certifikaten ges ut i enlighet med denna CPS och under de förutsättningar och krav som stipuleras i ETSI:s dokument Policy requirements for certification authorities issuing qualified certificates, TS 101 456.Förlitande part ansvarar för att avgöra om utfärdandeprocessen har tillräckligt hög nivå för den aktuella tillämpningen. Innehavare av hårdvarubaserad Telia e- legitimation och Förlitande parter är bundna genom avtal med Telia. 1.3.5.1 Användningsområde Hårdvarubaserad Telia e-legitimation ska användas av fysiska personer för att kunna kommunicera elektroniskt på ett säkert sätt med svenska myndigheter och företag i egenskap av privatperson eller som företrädare för en juridisk person. För att säkerställa den elektroniska kommunikationen mellan en organisation och en fysisk person krävs en eller flera möjligheter i form av legitimering/identifiering, underskrift/signering och kryptering. En ansökan om hårdvarubaserad Telia e- legitimation leder till utfärdande av två olika typer av certifikat, dvs. varje godkänd ansökan innebär utfärdande av två certifikat. Det ena certifikatet med tillhörande privat nyckel ska enbart användas vid underskrift/signering. Det andra certifikatet med tillhörande privat nyckel kan användas vid legitimering/identifiering och kryptering. Information om användningsområde finns markerat i certifikatet. Vid all användning av certifikat och tillhörande privat nyckel måste hänsyn tas till det användningsområde som finns angivet i det tillhörande certifikatet. 1.4 Kontaktuppgifter Telia är ansvarig för all hantering och uppdatering av denna CPS. Frågor angående denna CPS adresseras till: Telia Trust Services e-id@telia.se Customer Service 020-32 32 62 Box 352 831 25 Östersund Sweden

Page E-LEGITIMATION Public 7 (28) 2 Allmänna bestämmelser 2.1 Åtaganden Telia, såsom CA för Telia e-legitimation, åtar sig att erbjuda de tjänster i form av utfärdande av Telia e-legitimation, spärrtjänst och utfärdande av status som finns beskrivna i denna CPS och att utföra alla rutiner såsom de är beskrivna i denna. Detta åtagande innebär också att Telia uppfyller alla de krav på utfärdandeprocessen som ställs i ETSI:s dokument Policy requirements for certification authorities issuing qualified certificates, TS 101 456 Telia åtar sig hela ansvaret för CA:ns verksamhet, inkluderande den centrala registeringsenheten och kortproduktionen, även om vissa delar av certifikatutfärdandeprocessen utförs av någon underleverantör. Telia garanterar att CA:ns privata nyckel enbart används för att signera hårdvarubaserad Telia e-legitimation, certifikat för OCSP-responder samt spärrlistor (CRL:er) för hårdvarubaserad Telia e-legitimation. Telia garanterar också att CA:ns privata nyckel skyddas i enlighet med denna CPS. 2.1.1 Kundens åtaganden Kunden, dvs. den person som innehar en Telia e-legitimation, är bunden genom ett avtal med Telia. Kunden godkänner avtalet i samband med ansökan om en Telia e- legitimation. 2.1.2 Förlitande parts åtaganden Den förlitande parten ansvarar för att kontrollera giltigheten av en hårdvarubaserad Telia e-legitimation innan denna accepterar e-legitimationen. Kontrollera giltigheten innebär att verifiera certifikatets giltighetstid och utfärdandesignatur samt att kontrollera mot aktuell spärrinformation att certifikatet inte är spärrat. Det är också upp till förlitande part att studera denna CPS för att avgöra om säkerhetsnivån i utfärdandeprocessen är tillräcklig för den aktuella tillämpningen. 2.2 Ansvar Telia garanterar att den information som återfinns i de av Telia utfärdade certifikaten är kontrollerad och verifierad i enlighet med rutiner som framgår av denna CPS. I de fall Telia anlitar en underleverantör för att utföra vissa delar i utfärdandeprocessen ansvarar Telia för denna del som om Telia hade utfört dem själv. Telia ska inte göras ansvarigt för direkta eller indirekta, skador, eller några förluster av vinst, data eller annan skada som kan uppkomma i anslutning till dessa tjänster. 2.3 Ekonomiskt ansvar Utfärdande av hårdvarubaserad Telia e-legitimation i enlighet med denna CPS medför inte att Telia, ska betraktas som agent, fullmäktig eller på annat sätt som representant för kund eller Förlitande Part.

Page E-LEGITIMATION Public 8 (28) 2.4 Tillämplig lag och tvistlösning Svensk lag gäller vid tillämpning och tolkning av denna CPS om inget annat överenskommits. Tvist mellan Telia och en kund, dvs. innehavare av e-legitimation, ska avgöras enligt svensk lag och av svensk domstol. Tvist mellan Telia och någon annan än kunden, ex vis en förlitande part, med anledning av denna CPS ska avgöras enligt Internationella handelskammarens (ICC) regler för förlikning och skiljedomsförfarande. Stockholms handelskammare ska administrera förlikningen enligt ICC:s regler och platsen för skiljedomsförfarandet ska vara Stockholm. Förhandlingarna ska hållas på svenska om inte parterna har kommit överens om något annat. 2.5 Publicering och åtkomst av information Telia tillhandahåller denna CPS, spärrinformation och samtliga utfärdade CAcertifikat. Det dokument som Telia använder som certifikatpolicy tillhör ETSI och finns tillgänglig på ETSI:s webb, www.etsi.org och kan hämtas på http://portal.etsi.org/esi/el-sign.asp - Deliverables. Denna CPS, tillgång till spärrinformation och utfärdade CA-certifikat finns tillgängliga alla dagar, 24 timmar per dag, förutom vid tekniska fel, service eller andra faktorer som ligger utanför Telias kontroll. Telia åtar sig att avhjälpa tekniska fel och att utföra erforderlig service. Spärrinformation tillhandahålls via OCSP. Vid uppdatering av denna CPS och vid utfärdande av nya CA-certifikat kommer dessa att publiceras utan dröjsmål. Denna CPS publiceras på Telias webb enligt kapitel 1.1. Samtliga CA-certifikat som är utfärdade finns publicerade enligt kapitel 6.1.3. 2.6 Revision Utfärdanderutinerna för hårdvarubaserad Telia e-legitimation granskas minst vart tredje år av en oberoende revisionsfirma. Revisionsfirman är fristående från Telia. Förutsättningen för revisionen är att kontrollera att rutiner och processer följer denna CPS och kontrollera uppfyllelse mot de krav som ställs i ETSI:s dokument Policy requirements for certification authorities issuing qualified certificates, TS 101 456. Revisionen inkluderar även det arbete som utförs av eventuella underleverantörer. Om några brister upptäcks vid revisionen meddelas detta till CPS Management Team (CPSMT). CPSMT ansvarar sedan för att åtgärda de fel och brister som har upptäckts vid en revision. 2.7 Sekretess Den information som en sökande anger vid ansökan om hårdvarubaserad Telia e- legitimation kommer att betraktas som konfidentiell. Alla genererade privata och hemliga nycklar är konfidentiella.

Page E-LEGITIMATION Public 9 (28) Följande informationsobjekt anses inte vara konfidentiella: Utfärdade certifikat Spärrlistor Publika nycklar Sammanfattande resultat av revision enligt 2.6 Certifikatpolicies och CPS:er Villkor för nyckelinnehavare 2.8 Immateriella rättigheter I enlighet med lagen om upphovsrätt får inga delar av denna publikation, annat än enligt nedan angivna undantag, reproduceras, publiceras i ett databassystem eller skickas i någon form (elektroniskt, mekaniskt, fotokopierat, inspelat eller liknande) utan skriftligt medgivande från TeliaSonera Sverige AB. Tillstånd gäller dock generellt för att reproducera och sprida denna CPS i sin helhet under förutsättning att det sker utan avgift och att ingen information i dokumentet läggs till, tas bort eller förändras. Ansökan om tillstånd att på annat sätt reproducera och sprida delar av detta dokument kan göras genom kontakt med Telia enligt 1.4.

Page E-LEGITIMATION Public 10 (28) 3 Identifiering och verifiering 3.1 Initial registrering Följande uppgifter ingår i ansökan om en hårdvarubaserad e-legitimation: Uppgifter Efternamn Förnamn Personnummer Folkbokföringsadress Krav på innehåll Sökandens efternamn enligt SPAR eller motsvarande. Pseudonymer är inte tillåtna Sökandens samtliga förnamn ska anges. Pseudonymer är inte tillåtna. Giltigt svenskt personnummer, 12 siffror. Adress där innehavaren officiellt är skriven. 3.1.2 Verifiering av personuppgifter Telia kontrollerar de uppgifter som den sökande anger i sin beställning. Uppgifterna kontrolleras mot det svenska folkbokföringsregistret SPAR eller annat av Telia godkänt register, innan certifikatbeställningen godkänns. Den sökande måste identifieras med hjälp av en godkänd legitimation innan den sökande kan hämta ut sin hårdvarubaserade Telia e-legitimation från utlämningsstället. 3.2 Verifiering vid förnyelse av certifikat Ingen speciell rutin finns för förnyelse av certifikat. Förnyelse av certifikat beställs och levereras på samma sätt som nya certifikat, dvs nya nycklar och kort levereras och ny validering av certifikatsbeställningen görs. 3.3 Begäran om spärr Telia kundtjänst för certifikattjänster ansvarar för att ta emot begäran om att spärra certifikat för e-legitimation. En kund kan spärra sin e-legitimation genom att ringa till Telias spärrtjänst. Kunden får då uppge information som gör det möjligt för kundtjänst att identifiera rätt e-legitimation. Kundtjänst är tillgänglig för att ta emot begäran om spärr dygnet runt.

Page E-LEGITIMATION Public 11 (28) 4 Operationella krav 4.1 Ansökan om e-legitimation Den sökande lämnar identitetsuppgifter i enlighet med kapitel 3.1 och övrig nödvändig information. Den sökande blir upplyst om de avtalsvillkor som gäller för tjänsten och måste godkänna dessa innan ansökan kan registreras. Följande rutiner används när en sökande begär en e-legitimation tillsammans med ett smart kort. Telia e-legitimation standard kort Den sökande fyller i en beställning med identifieringsinformation Den sökande godkänner beställningen och skickar den till den Centrala Registererings enheten. Telia e-legitimation Företagskort eller SIS-godkänt anställningskort Ansökningar om identitetskort följer de svenska kraven i standarden SS 614314:2004/T1:2005 och Särskilda bestämmelser för certifiering av identitetskort för utfärdare, SBC-151-U. En godkänd handläggare i den sökandes organisation anger korrekt identifieringsinformation. Den godkända handläggaren kontrollerar den sökandes identitet mot en godkänd legitimationshandling. Den sökande lämnar i förekommande fall ett foto av sig själv. Fotot fästs vid ansökningsblanketten. Den godkända handläggaren och den sökande skriver under blanketten och skickar blanketten till den Centrala Registeringsenheten. Den centrala registreringsenheten kontrollerar identifieringsinformation som lämnats till Telia mot det officiella befolkningsregistret SPAR. Om information som angetts i ansökan skiljer sig mot informationen i SPAR, så informeras den sökande och beställningen avslås. 4.2 Utfärdande av e-legitimation Telia accepterar en ansökan om e-legitimation genom att utfärda en e-legitimation till den sökande. Registreringen av informationen som krävs för utfärdande av certifikat och tillhörande smart kort utförs i ett system med hög nivå på integritetsskydd. Registreringsrutinen säkerställer att ingen sammanblandning av person data och eventuellt foto kan ske. Produktionsprocessen för att utfärda certifikat, tillhörande privata nycklar och smarta kort består av följande åtskilda aktiviteter: Skapande av PIN-koder Nyckelgenerering och lagring på smarta kort Generering av certifikat Personalisering av smarta kort Distribution och leverans av aktiveringsdata (PIN-koder) och smarta kort

Page E-LEGITIMATION Public 12 (28) Ingen enskild person har rättigheter att genomföra alla steg på egen hand. Certifikaten skapas i CA-systemet vid mottagande av en signerad certifikatsansökan från en auktoriserad RA (se Betrodda roller avsnitt 5.2.1) Varje person som har rollen som RA har sina egna privata nycklar för att signera beställningen. RA ns privata nyckel är lagrade på ett smart kort. Varje certifikatsbeställning kan spåras till den individ som ansvarar för förfrågan. RA funktionen genomför validering av varje certifikatansökan. Valideringen sker enligt en bestämd rutin och flera RA-operatörer är involverade i valideringsprocessen för varje sökande. När alla RA-operatörer har godkänt sin del av valideringsprocessen kan ett certifikat utfärdas. Valideringsprocessen dokumenteras och loggas elektroniskt så att spårbarhet uppnås. Varje genomfört steg i utfärdandeprocessen signeras digitalt av en ansvarig RA-operatör. 4.3 Acceptans av certifikat Den sökande accepterar utfärdandet av hårdvarubaserad Telia e-legitimation genom att godkänna avtalsvillkoren 4.4 Spärrning av certifikat Telia tillhandahåller en spärrtjänst som är tillgänglig dygnet runt. Spärrinformation kan enbart erhållas via OCSP. Ingen annan form av spärrinformation tillhandahålls. Telia tillhandahåller inte tillfällig blockering (suspension) av certifikat. 4.4.1 Anledning till spärr Hårdvarubaserad Telia e-legitimation ska spärras om någon uppgift i certifikatet är felaktig eller om den tillhörande privata nyckeln har blivit röjd eller det finns misstanke om detta. Telia förbehåller sig rätten att spärra en kunds e-legitimation om detta anses nödvändigt. 4.4.2 Rutin för begäran om spärr Telias spärrtjänst tar emot begäran om spärr via telefon. Det är enbart kunden eller i vissa fall Telia som kan begära att kundens e-legitimation ska spärras. När en begäran om spärr kommer in via telefon krävs att den som ringer kan ange viss nödvändig information för att kunna spärra sin e-legitimation. Den operatör som tar emot samtalet om spärr markerar aktuella certifikat som spärrade. Information om spärr publiceras när en e-legitimation spärrats. 4.4.3 Krav på kontroll av spärrinformation Förlitande part ansvarar för att kontrollera giltigheten av hårdvarubaserad Telia e- legitimation innan denna accepteras. En förlitande part kan inte till fullo lita på en hårdvarubaserad Telia e-legitimation om inte följande kontroller har genomförts: Förlitande part åtar sig att genomföra kontroll genom OCSP Om det inte är möjligt att erhålla spärrinformation pga. av systemfel eller liknande, så ska inte certifikatet accepteras. Om detta ändå sker är det på förlitande parts egen risk.

Page E-LEGITIMATION Public 13 (28) 4.5 Loggning 4.5.1 Händelser som loggas Följande händelser loggas antingen automatiskt eller genom manuella metoder: Uppläggning av nya konton i någon av CA-systemets datorer oavsett typ av konto. Alla typer av transaktioner mot CA-systemet Installation och uppdatering av programvara inklusive systemprogramvara Datum och tid för backuper Start och nedtagning av de olika systemen Datum och tid för uppgradering av hårdvara Loggarna granskas och analyseras kontinuerligt för att upptäcka oönskade händelser. Säkerhetsloggar bevaras i minst 10 år. Loggar skyddas mot otillbörlig förändring genom de logiska skyddsmekanismerna i operativsystemen samt genom att systemen i sig inte är fysiskt och logiskt åtkomliga annat än av behörig personal. Alla loggposter är individuellt tidsstämplade. 4.6 Arkivering Telia i sin roll som CA, eller till Telia associerad RA-funktion, arkiverar följande data: Transaktioner innehållande signerad begäran om certifikatproduktion och spärr av certifikat från behörig operatör. Ansökningshandlingar undertecknade av ansökande nyckelinnehavare samt av personer ansvariga för att ta emot och acceptera ansökan. Undertecknade mottagningskvittenser vid utlämning av eid-kort och koder. Utfärdade certifikat. Historik rörande tidigare CA-nycklar, nyckelidentifierare samt korscertifikat mellan olika generationer av CA-nycklar. Begäran om spärr samt därtill relaterade uppgifter inkomna till Telias kundtjänst. Spärrlistor och annan relevant information om spärrade certifikat Resultat av revision av Telias uppfyllelse av denna CPS Alla certifikatpolicydokument som är eller har varit relevanta för denna CPS eller tidigare tillämpade versioner av denna CPS. Gällande villkor och kontrakt. Denna CPS samt alla tidigare tillämpade versioner av denna CPS. De uppgifter som arkiveras i enlighet med ovanstående bevaras i minst 10 år efter utgången giltighetstid för utfärdade certifikat. Under denna tid skyddas uppgifterna också mot förändring eller förstörelse. Arkiverat material som är klassat som konfidentiellt enligt 2.7 är inte tillgängligt för externa parter i sin helhet annat än vad som krävs genom lag och beslut i domstol. Utlämning av enstaka uppgifter rörande en specifik nyckelinnehavare eller transaktion kan göras efter individuell prövning.

Page E-LEGITIMATION Public 14 (28) Arkiverat material som inte är klassat som konfidentiellt enligt 2.7 kan lämnas ut utan prövning. Till denna kategori hör information som kan hämtas publikt i enlighet med 2.5. Arkivutdrag som tas fram av Telia tillhandahålls till självkostnadspris. Arkiven lagras under sådana förhållanden att de förblir läsbara för granskning under den angivna lagringstiden. Parter görs dock uppmärksamma på att teknik för lagring av arkivmaterial kan komma att ändras och att Tellia i sådant fall inte åtar sig att bibehålla funktionell utrustning för tolkning av gammalt arkivmaterial om detta är äldre än 5 år. I dessa fall åtar sig dock Telia istället att ha beredskap för att sätta upp nödvändig utrustning mot uttagande av en avgift som svarar mot Telias kostnader. Av den händelse att procedurer för tillgång till arkivmaterial förändras förorsakat av att CA upphör med sin verksamhet, så kommer information om procedur för fortsatt tillgång till arkivmaterial att tillhandahållas av Telia genom underrättelseprocedurer enligt kapitel 4.9. 4.7 Byte av nycklar Byte av kundens privata nycklar kräver en ny initial registrering och en ny kort- och certifikatsbeställning. Ny CA-nyckel skapas minst 3 månader före den tidpunkt då tidigare CA-nyckel upphör att användas för utfärdande av nya certifikat. Vid byte av CA-nyckel sker följande: a) Nytt självsignerat certifikat utfärdas för den nya publika CAnyckeln. b) Korscertifikat utfärdas där den gamla CA-nyckeln signeras med den nya CA-nyckeln. c) Korscertifikat utfärdas där den nya CA-nyckeln signeras med den gamla CA-nyckeln. d) Certifikaten enligt a-c publiceras hos Telias katalog. 4.8 Katastrofplan Telia har en utarbetad plan i händelse av någon form av katastrof inkluderade de fall då CA:ns privata nyckel misstänks vara komprometterad. Katastrofplanen utgår från att verksamheten ska kunna återupptas snarast möjligt beroende på omfattningen av katastrofen. Följande åtgärder kommer att vidtas i de fall då CA:ns privata nyckel misstänks vara röjd: Informera alla kunder, förlitande parter och andra CA:n som Telia har avtal eller andra former av etablerade förbindelser med. Omedelbart avsluta möjligheten att spärra certifikat och att kontrollera mot spärrlistor som är signerade av den nyckeln som tros vara röjd.

Page E-LEGITIMATION Public 15 (28) 4.9 Upphörande av CA:ns verksamhet Upphörande av CA:ns verksamhet är att betrakta som det tillstånd då all service förknippad med CA:n permanent avslutas. Det är inte detsamma som om CA:ns tjänster övertas av någon annan organisation eller när CA:n byter signeringsnyckel. Innan CA upphör med sin verksamhet kommer följande åtgärder att vidtas: Informera alla kunder som Telia har avtal med. Informera övriga parter såsom andra CA eller förlitandeparter som Telia har avtal med Informera övriga parter som Telia har någon form av etablerade relationer med angående hårdvarubaserad Telia e-legitimation Avsluta möjligheten att spärra certifikat. Avsluta möjligheten att kontrollera spärrinformation för certifikatutfärdade under CA:n. Telia ska se till att när verksamheten upphör ska det ändå vara möjligt att få tillgång till det data som arkiveras i enlighet med kapitel 4.6. Telia ska när verksamheten upphör se till att CA:ns privata nyckel raderas så att den därmed inte längre kommer kunna användas.

Page E-LEGITIMATION Public 16 (28) 5 Säkerhet 5.1 Fysisk säkerhet De byggnader, där det centrala CA-systemet samt Telias kundtjänst för e- legitimation är placerade är utrustade med inpasseringssystem. Inpasseringssystemet består av en kortläsare med tillhörande knappsats. All behörig personal har ett personligt inpasseringskort med sin egen PIN-kod. All in- och utpassering loggas. Ett extra inpasseringsskydd finns till lokalen med det centrala CA-systemet och till kundtjänst lokalen. Det extra skyddet består av en biometrisk utrustning som tillsammans med inpasseringskortet ger åtkomst till lokalerna. Lokalerna är också utrustad med inbrottslarm i form av rörelsedetektorer och de står under ständig videoövervakning. Inbrottslarmet är aktiverat under hela dygnet. Under icke-arbetstid kontrollerar dessutom vakter byggnaderna och ser till att dessa är låsta, larmade och att inget inbrott har skett. Lås och larmanordningar kontrolleras löpande av vaktpersonal hela dygnet. De privata nycklarna som används för att signera certifikat och spärrförfrågningar är fysiskt skyddade så att de inte kan exponeras även om det sker ett intrång i själva lokalen. Det krävs fler än två behöriga personer för att aktivera/deaktivera den hårdvarumodul som innehåller signeringsnycklarna. Arkiv- och säkerhetskopior lagras på två separata ställen, vilka båda är skilda från det centrala CA-systemet. Kopiorna lagras på ett sådant sätt att de är skyddade mot stöld, förvanskning eller förstörelse eller obehörig användning av den lagrade informationen. 5.1.1 Anläggningens lokalisering och konstruktion CA-systemet är lokaliserat i en s.k. klass A byggnad, dvs. en byggnad som är konstruerad med starkt fysiskt skydd. Själva CA-systemet är placerade i en lokal som är låst och larmad. Nyckelmaterial, såsom CA-nycklar och lösenord till CAnycklar, är inlåsta i separata och fristående säkerhetsskåp. Hela byggnaden i vilken CA-systemet är placerat är utrustad med reservkraft i form av diesel drivna turbiner och UPS:er. UPS:erna har en kapacitet som är tillräcklig för att turbinerna ska starta. Turbinerna är alltid i stand-by läge och förser automatiskt hela byggnaden med el vid strömavbrott. Reservkraftaggregaten testkörs varje månad. Konstruktionsmaterialet i byggnaden är vald för att minska risken för brand. Byggnaden är också utrustad med optiska rökdetektorer och HART detektorer. Vid eventuell brand går ett brandlarm automatiskt till brandkåren och till vaktbolaget. Byggnaden är utrustad med automatisk brandsläckningsutrustning av varierande slag beroende på de olika utrymmena i byggnaden. Inergen används som släckgas vilket innebär att maskiner och människor inte skadas av gasen vid en brand. Gastuberna kontrolleras med jämna mellanrum med avseende på läckage och funktionalitet. Förutom ovanstående finns ett stort antal manuella brandsläckare.

Page E-LEGITIMATION Public 17 (28) 5.2 Säkerhetsorganisation (Procedurorienterad säkerhet) 5.2.1 Betrodda roller Telia har ett antal definierade roller som utför bestämda arbetsuppgifter. Varje roll har sin egen arbetsbeskrivning. Dessa roller får enbart innehas av personal som uppfyller vissa kriterier, se vidare kapitel 5.3. De definierade rollerna utför en eller flera av följande arbetsuppgifter (detta är endast ett urval av alla arbetsuppgifter): Etablera CA Generera CA-nycklar Aktivera CA-nycklar i CA-systemet Validera certifikatansökningar Godkänna certifikatansökningar Spärra certifikat Initiera nya RA-operatörer i CA-systemet Konfigurera och underhålla CA-systemet Uppläggning av nya användarkonton i CA-systemets ingående delsystem Konfigurering och underhåll av nätverkskommunikation Backup-hantering Genomgång av loggar Vissa kombinationer av roller/arbetsuppgifter är inte tillåtna att innehas av en och samma person. 5.2.2 Krav på antal personer per uppgift För varje roll finns åtminstone en utsedd person. De olika rollerna är utsedda på ett sådant sätt att ingen person ensam kan få tillgång till hela CA-systemet eller dess funktioner. För att generera nya CA:n, nya CA-nycklar och för att aktivera en CA:s signeringsnyckel krävs fler än två personer. 5.2.3 Identifiering och verifiering av personer i betrodda roller Varje RA-operatör har ett eget individuellt certifikat med tillhörande privat nyckel, som används vid allt arbete med att verifiera och godkänna ansökningar om e- legitimation. Dessutom används detta vid spärrning av e-legitimation om inte användaren själv spärrar sitt certifikat. De olika applikationerna som används för att utföra de olika RA-funktionerna kontrollerar riktigheten av certifikaten och identiteten i certifikaten. Dessutom kontrolleras att RA-operatören har tillgång till sin privata nyckel. Operativssystemsansvariga, nätverks- och databasoperatörer har egna individuella användarkonton på det/de system som de ansvarar för.

Page E-LEGITIMATION Public 18 (28) 5.3 Personorienterad säkerhet Telia har en utarbetad rutin för att utse personal till de ur säkerhetssynpunkt kritiska funktioner inom CA-verksamheten. I denna rutin ingår att innan en person tilldelas en kritisk roll kontrolleras tidigare anställningar, utbildningar och belastningsregistret. Denna kontroll genomförs minst vart tredje år. Därutöver måste personen ha varit fast anställd i minst sex månader hos Telia eller hos aktuell underleverantör. De personer som tilldelas uppgifter inom CA-verksamheten har därmed visat sin lämplighet och pålitlighet för sådana befattningar. Personal som har uppgifter inom CA-verksamheten har inte andra befattningar eller uppgifter som kan vara i konflikt med de uppgifter som de utför inom CA-verksamheten. Personer som utses till olika kritiska roller ska ha adekvat utbildning för rollen. Personal som innehar en kritisk roll och utför otillåtna handlingar eller på annat sätt missköter sina arbetsuppgifter omplaceras till annan verksamhet som inte rör CAverksamheten.

Page E-LEGITIMATION Public 19 (28) 6 Teknisk säkerhet 6.1 Generering och installation av nyckelpar 6.1.1 Generering av nycklar Nycklar genereras utifrån ett slumptal. Processen att generera slumptal, som bas för nyckelgenerering, är slumpmässig på så sätt att det är beräkningsmässigt ogörligt att återskapa ett genererat slumptal, oavsett mängden kunskap om genereringsprocessens beskaffenhet eller vid vilken tidpunkt eller med hjälp av vilken utrustning slumptalet skapades. Nyckelgenereringsprocessen är så beskaffad att ingen information om nycklarna hanteras utanför nyckelgenereringssystemet annat än genom eventuell säker överföring till avsedd förvaringsplats. Nycklarnas unicitet uppnås genom att nycklarna är slumpmässigt genererade och av sådan längd att sannolikheten för att två identiska nycklar genereras är försumbar. 6.1.1.1 Utfärdarnycklar för signering av certifikat och spärrlistor Generering av CA:ns privata utfärdarnycklar sker i den datorenhet där nycklarna sedan används. Denna datorenhet skyddas fysiskt enligt avsnitt 5.1, vilket bl.a. innebär att tillträde till denna enhet kräver samtidig närvaro av minst två behöriga operatörer. CA-nycklarna genereras i en hårdvarumodul som är dedicerad för att lagra krypteringsnycklar. Vid generering av utfärdarnycklar krävs flera personers närvaro, som var och en innehar olika roller. Hela förloppet dokumenteras. 6.1.1.2 Nyckelpar för RA och nyckelinnehavare RSA-nycklar genereras i en fristående arbetsstation. Nyckelgenereringen utförs batchvis innan certifiering av nycklarna sker. Vid generering lagras nycklarna läs- och skrivskyddade enbart på respektive korts chip, skyddade av en transportnyckel, och raderas samtidigt ur arbetsminnet på den arbetsstation som genererat nycklarna. Som alternativ kan nyckelgenerering ske lokalt i kortets chip, varvid nämnda moment i arbetsstation bortfaller. 6.1.2 Leverans av privat nyckel till användare Efter produktion levereras korten med Rekommenderad försändelse till det utlämningsställe där beställningen gjorts eller till sökandens bokföringsadress enligt SPAR. Färdiga kort som, av tidsskäl, inte packas och skickas med posten inom samma dag låses in i valv till nästföljande arbetsdag. Systemet tillåter inte att kodbreven skrivs ut samtidigt som korten produceras. Detta förhindrar att kort och kod någonsin finns tillgängliga samtidigt, varken hos kortproducenten eller i postgången.

Page E-LEGITIMATION Public 20 (28) Kort lämnas endast ut till sökanden personligen sedan sökanden identifierat sig i enlighet med 3.1. Detta anges i aviseringsbrevet och i de utlämningsrutiner som gäller enligt SBC151. Mottagande av kortet kvitteras. Kvittensen sparas i 10 år. Genom information till nyckelinnehavaren ges nyckelinnehavaren en tydlig uppmaning att byta initiala koder till personligt valda koder vid första lämpliga tillfälle. 6.1.2.1 Distribution och lagring av kort med kryptofunktion Före nyckel- och applikationsinitiering: Blivande eid-kort kontrolleras efter leverans från tillverkare och förvaras inlåsta i valv i de grupperingar de blivit levererade. Hantering av ej initialiserade kort övervakas av två personer i förening. Generering av nycklar sker batchvis och varje batch används i den ordning de är initialiserade. Varje steg i processen finns dokumenterad dels elektroniskt och dels utskriven på en rapport som medföljer batchen. Alternativt genereras nycklar lokalt i kortets chip. Efter nyckel- och applikationsinitiering: Varje batch används i den ordning de är initialiserade. Varje steg i processen finns dokumenterad både dels elektroniskt och dels utskriven på en rapport som medföljer batchen. Initierade men ej personaliserade batchar av kort, samt restkort från delvis använda batchar, förvaras inlåsta i valv då de inte används. Hantering av dessa kort övervakas av två personer i samverkan. Efter personalisering: Personaliserade kort hålls alltid åtskilda från icke-personaliserade kort. Det existerar en processbeskrivning som beskriver avvikelsehantering som inkluderar åtgärder vid störningar i produktionsprocessen, störningar i leveransprocessen samt vid förlorade eller trasiga kort. Procedurer för leverans av kort definieras i Fel! Hittar inte referenskälla.. 6.1.3 Leverans av publika nycklar till CA De publika nycklarna överförs till CA i samband med certifikatproduktion genom ett signerat certificate request, och certifikatproduktion sker efter det att RA konstaterat att denna nyckel sammanhör med motsvarande nyckel på nyckelinnehavarens kort och att kortet uppfyller krav enligt 6.1. 6.1.4 Leverans av CA:ns publika nyckel till användare och förlitandeparter CA:ns signerade certifikat finns publicerat på webben, https://www.trust.telia.com/e-leghw. CA-certifikatet kan också i förekommande fall finnas sparat i kortet och kan läsas utan att PIN-kod behöver anges.